一、技术领域

本发明是有关于一种检测计算机安全的技术，且特别是有关于一 种采用完整和递增差异相结合的扫描方法来检测计算机安全的系统。

二、背景技术

用户在使用计算机的过程中，经常因不甚操作而导致计算机感染 病毒或被植入间谍或木马软件等情况，当病毒发作后会对计算机进行 破坏，导致计算机的速度变慢、数据丢失、死机等不良情况。

为了检测计算机是否安全，有没有感染病毒或被植入间谍或木马 软件等情况，在现在技术领域中，一般是在计算机中安装防病毒软件， 利用该软件对硬盘区域进行扫描，扫描到病毒后杀掉。但是，这种防 病毒的软件，在扫描硬盘区域时，是对整个要扫描的硬盘区域扫描， 且不对扫描过的情况做任何信息的记录，这样，每隔一段时间后，用 户需要重新扫描原来的硬盘区域以再次确认计算机是否安全时，需要 重新全部对原来的硬盘区域进行一次扫描，如果硬盘区域比较大，那 么用户会因重新全部扫描而花费很长的时间，很不方便。

同时，在现有技术领域中，也提供有改进的扫描方法来提高检测 计算机是否安全的速度，比如已经公布的专利号为5,502,815(申请日 为1992年3月30日)的美国专利。上述美国专利是对文件进行扫描 的，扫描文件以检测病毒的原理是：在一次扫描完后，将文件的信息 保存在非易失性存储介质(non-volatile storage medium)中，之后再扫 描时需先获得上述文件的当前信息，再在非易失性存储介质中查找保 存在其中的上述文件以前的信息，并将两者相比较，如果不相等就再次 进行扫描，如果相等就直接跳过上述文件，不进行扫描。

上述美国专利技术虽然在一定程度上提高了扫描的速度，可是每 次进行扫描的时候都要得到要扫描文件当前的信息，并要在非易失性 存储介质中查找有关的信息，相应的导致扫描的效率比较低下。同时， 上述技术仅仅是对文件进行扫描的，而计算机磁盘里有很多不属于文 件的扇区，若扇区有被病毒所侵害，上述技术也不能够进行检测，所 以在检测计算机是否安全时，功能不够完善。

三、发明内容

鉴于以上所提到的，现有的检测病毒技术所存在的不足和缺点，本 发明提供一种安全检测技术，来检测计算机是否有受到病毒等的侵害， 克服了上述现有技术的不足和缺点。本发明技术，在第一次对指定的 硬盘区域进行扫描时，将扫描信息存储到一信息库中，并且若完成对 一个分区的扫描就标记该分区为已被扫描，这样以后再扫描该区域时， 就可以根据信息库中的信息和分区的标记直接跳过，只是扫描有递增 差异的文件。

本发明的第一目的，在于提供一种安全检测系统，其采用完整和 递增差异相结合的方法来检测文件是否有病毒，极大的提高了检测病 毒的速度。

本发明的第二目的，在于提供一种安全检测系统，其采用完整和 递增差异相结合的方法来检测扇区是否有病毒，保证了安全检测完备 性。

本发明的第三目的，在于提供一种安全检测系统，其比较扫描模 块版本的高低以决定是否要重新扫描，提高了病毒检测的准确性。

本发明之一种安全检测系统，适用于一计算机系统，其包括有： 一监测模块，其用以监测对上述计算机系统的改动操作；以及一信息 库，其用以存储上述改动操作的相关信息，依据上述信息库检测上述 计算机系统是否被病毒感染或被植入间谍或木马软件。

其中，根据上述信息库所存储的信息，对上述监测模块所监测到的 上述有进行过改动操作的扇区进行扫描，并将扫描的信息存储到上述 信息库中。其中，根据上述信息库所存储的信息，对上述监测模块所 监测到的上述有进行过操作的文件进行扫描，并将信息存储到上述信 息库中。

本发明之另一种安全检测系统，适用于一计算机系统，其包括有 ：一监测模块，其用以监测对上述计算机系统的改动及扫描操作；以 及一信息库，其用以存储上述监测的操作的相关信息，依据上述信息 库检测上述计算机系统是否被病毒感染或被植入间谍或木马病毒。

其中，根据上述信息库所存储的信息，对上述监测模块所监测到 的上述有进行过改动操作的扇区及没有进行过扫描操作的扇区进行扫 描，并将扫描的信息存储到上述信息库中。其中，根据上述信息库所 存储的信息，对上述监测模块所监测到的上述有进行过改动操作的文 件及没有进行过扫描操作的文件进行扫描，并将信息存储到上述信息 库中。

在本发明技术中：用一标记标识一分区所包含的全部扇区被扫描； 上述信息库所存储的对扇区进行扫描的信息包括扫描过扇区的信息和 扫描模块版本号的信息；扫描过扇区的信息是经扫描没有病毒的扇区 的信息。同时，在本发明技术中：也用一标记标识一分区所包含的全 部文件被扫描；上述信息库所存储的对文件进行扫描的信息包括扫描 过文件的信息和扫描模块版本号的信息；扫描过文件的信息是经扫描 没有病毒的文件的信息。

上述扫描的区域可以是整个硬盘，也可以是硬盘既定的一个或几个 分区。

四、附图说明

图1为本发明一较佳实施例之安全检测系统的结构示意图。

图2为本发明又一较佳实施例之安全检测系统的结构示意图。

五、具体实施方式

为了让本发明之上述和其它目的、特征、和优点能更明显易懂， 下文特举较佳实施例，并配合附图，作如下详细说明。

本发明的对计算机进行安全检测的系统，采用完整和递增差异相 结合的方法来检测病毒，第一次对指定的硬盘区域检测后，在以后再 次对指定的硬盘区域进行检测时，只是检测递增差异的文件，从而最 大限度的降低检测的时间，同时，本发明技术不但可以对既定硬盘区 域所包含的文件进行安全检测，而且也可以对既定硬盘区域所包含的 扇区进行检测。另，利用本发明技术检测计算机是否安全时，也可以 比较扫描模块的版本，若曾经扫描时所使用的扫描模块的版本比较低， 则重新对指定的硬盘区域进行扫描，从而保证了对新病毒的及时检测。

本发明一较佳实施例之安全检测系统，适用于一计算机系统，包 括有：一监测模块，其用以监测对上述计算机系统的改动操作；以及 一信息库，其用以存储上述改动操作的相关信息，依据上述信息库检 测上述计算机系统是否被病毒感染或被植入间谍或木马软件。

其中，根据上述信息库所存储的信息，对上述监测模块所监测到 的上述有进行过改动操作的扇区进行扫描，并将扫描的信息存储到上 述信息库中。其中，根据上述信息库所存储的信息，对上述监测模块 所监测到的上述有进行过操作的文件进行扫描，并将信息存储到上述 信息库中。

请参考图1，其为本发明较佳实施例之安全检测系统的结构示意 图，用以说明本发明技术的独特和优越之处。

如图1所示，本发明一较佳实施例之安全检测系统包括有：一指 定的硬盘区域10、一监测模块20、一信息库30，以及一扫描模块40。

指定的硬盘区域10是由用户根据需要设定的，用户可以设定要检 测的区域为整个硬盘也可以设定检测一个或者几个分区，指定的硬盘 区域10包括有既定数目的文件或扇区。

第一次对指定的硬盘区域10进行完整扫描时，以及扫描后，监测 模块20监测对指定的硬盘区域10所进行的改动操作，若是监测对扇 区进行的操作，那么检测的操作可以是对扇区进行写操作等，若是监 测对文件进行的操作，那么检测的操作可以是重新对文件进行命名、 对文件进行写操作、创建一个文件等，这些改动操作有可能使得计算 机系统感染病毒或被植入间谍或木马软件。

当监测到对指定的硬盘区域10进行操作，则将改动的相关信息存 储到信息库30中。若是监测对扇区进行的操作，改动的相关信息包括 扇区所在的磁盘号、扇区号等信息，若是监测对文件进行的操作，改 动的相关信息包括进行改动操作文件的路径、文件名等信息。

信息库30中是在非易失性存储介质(non-volatile storage medium) 中对监测到的信息进行缓存的，其可以是硬盘、可擦写光盘、磁带机、 网络服务器中一存储空间等。根据信息库30所存储的信息，就可以知 道指定的硬盘区域10中有哪些扇区或文件为递增差异的，所以再次进 行扫描时，扫描模块40会对递增差异的扇区或文件进行扫描，并将扫 描的信息存储到信息库30中。

在扫描的过程中，若扫描到病毒、发现间谍或木马软件，可以直 接处理掉，比如杀掉病毒、隔离掉间谍或木马软件等，若经过扫描没 有扫描到病毒，则把没有扫描到病毒的扇区或文件的信息存储到扫描 信息库30中，若是扇区，可以存储扇区所在的磁盘号、扇区号等，若 是文件，可以存储文件的名称、路径等。

值得注意的是，在本发明一较佳实施例中，在信息库30中除了记 录没有扫描到病毒的扇区或文件的信息外，还包括对扇区或文件进行 扫描的扫描模块40的版本号的信息。由于病毒总是在不断的更新和变 种的，需要不断的更新扫描工具才可以及时的检测到新的病毒，所以 记录扫描模块40版本号的信息到信息库30中是十分必要的，这样以 后再进行扫描的时，可以确认曾经扫描是用什么版本的扫描工具扫描 的。若版本比较低，则再次扫描时，为了及时的发现新的病毒，可以 重新对指定的硬盘区域10所包括的所有扇区或文件进行扫描。

同时，在本发明技术中，若一分区所包含的全部扇区或文件被扫 描完，则用一标记来标识该分区，这样以后再次对指定的硬盘区域10 进行安全检测时，对于有标记的分区则不再进行扫描，而不是象现有 技术那样需要重新再扫描一次或者从非易失性存储介质中查找有关的 信息进行比较，从而最提高了扫描的速度。

通过上述可以看出，在本发明一较佳实施例中，当对指定的硬盘 区域10所包含的扇区或文件完成一次完整扫描后，下次对指定的硬盘 区域10所包含的扇区或文件扫描时只是扫描递增差异的文件，这样就 降低了扫描所花费的时间，提高了安全检测的速度；同时，由于对扫 描模块的版本号进行了记录，这样当扫描模块进行了升级更新时，可 以保证对新病毒的及时检测。

但是，在进行完整扫描的过程中，经常会发生用户暂停扫描或者 由于其它原因引起有部分扇区或文件没有被扫描到的情况，这样再次 扫描时，除了有递增差异的扇区或文件需要扫描，而且还有完整扫描 时剩余的没有进行过扫描操作的扇区或文件需要扫描，为了适应上述 要求，本发明提出又一解决方案。

本发明又一较佳实施例之安全检测系统，适用于一计算机系统， 其包括有：一监测模块，其用以监测对上述计算机系统的改动及扫描 操作；以及一信息库，其用以存储上述监测的操作的相关信息，依据 上述信息库检测上述计算机系统是否被病毒感染或被植入间谍或木马 病毒。

其中，根据上述信息库所存储的信息，对上述监测模块所监测到 的上述有进行过改动操作的扇区及没有进行过扫描操作的扇区进行扫 描，并将扫描的信息存储到上述信息库中。其中，根据上述信息库所 存储的信息，对上述监测模块所监测到的上述有进行过改动操作的文 件及没有进行过扫描操作的文件进行扫描，并将信息存储到上述信息 库中。

同样，在本又一较佳实施例中：用一标记标识一分区所包含的全 部扇区或文件被扫描；上述信息库所存储的对扇区或文件进行扫描的 信息包括扫描过扇区或文件的信息和扫描模块版本号的信息；扫描过 扇区或文件的信息是经扫描没有病毒的扇区的信息。上述扫描的区域 可以是整个硬盘，也可以是硬盘既定的一个或几个分区。

如图2所示，其为本发明又一较佳实施例之安全检测系统的结构 示意图，在本又一较佳实施例中，监测模块20不但监测对计算机系统 的改动而且监测扫描模块40的扫描操作，并存储监测的操作的信息在 信息库30中，通过存储在信息库30的信息，就可以知道对计算机系 统哪些扇区或文件进行了改动，对哪些扇区或文件进行了扫描。

这样，再次扫描的时候，除了有递增差异的扇区或文件可以被扫 描到，而且通过信息库30的信息，也可以知道上次完整扫描时剩余的 没有进行过扫描操作的扇区或文件，这样在扫描时，这部分扇区或文 件也成为了扫描的对象，从而保证了扫描的完整性。

本发明之安全检测系统，当对指定的硬盘区域10所包含的扇区或 文件完成首次完整扫描处理后，再次扫描的时候，只是扫描有递增差 异的扇区或文件，且，即使首次扫描有剩余部分扇区或文件没有被扫 描，再次扫描的时候也只需要扫描首次扫描剩余的没有被扫描的扇区 或文件和有递增差异的扇区或文件，从而极大的提高了扫描的速度， 节约了检测病毒的时间。同时，本发明技术也考虑到病毒不断更新和 变种的问题，采用存储扫描模块版本号的方式，这样在扫描前，通过 比较版本号，可以确认用来扫描病毒的工具总是比较新的版本，这样 可以保证对新病毒的及时检测和处理，从而从根本上保证了用户计算 机系统的安全性。

综上所述，本发明之安全检测系统，利用完整和递增差异相结合 的技术来进行计算机系统的安全检测，解决了现有技术中扫描花费时 间长，效率低下等的问题，节约了用户宝贵的时间且也从根本上保证 了用户计算机系统的安全，具有十分明显的进步。

虽然本发明以前述之较佳实施例揭露如上，然而并非用以限定本发 明，任何熟习此技艺者，在不脱离本发明之精神的范围内，可作些许 之更动与润饰，因此本发明的保护范围应当以权利要求书要求的范围 为准。